トラフィック制御 / 攻撃検出
攻撃検出機能は、スイッチポートでDoS(サービス妨害)攻撃と思われるトラフィックを検出したときに、該当ポートを一定時間シャットダウンして、本製品と配下のネットワークを保護する機能です。基本設定
本機能で検出できる攻撃と検出のための設定コマンド、検出条件は次表のとおりです。| 不正なIPオプションを含むパケットを送りつける攻撃。ただし、本機能では「不正」かどうかの判定は行わず、すべてのIPオプション付きパケットの受信レートによって本攻撃を検出する | IPオプション付きIPパケットの受信レートが毎秒20個を超えた | ||
| 始点と終点に同じアドレスを設定したIPパケットを送りつけることによるDoS攻撃 | 始点・終点に同じIPアドレスがセットされたIPパケットを受信した | ||
| 特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる攻撃 | 再構成後のICMPデータサイズ(IPヘッダーとICMPヘッダーを除いたサイズ)が63447バイトを超えるフラグメント化されたICMP Echo(Ping)パケットを受信した | ||
| 始点アドレスを詐称(標的のアドレスを設定する)したPingパケットを中継サイトのディレクテッドブロードキャストアドレスに送り、中継サイトから標的サイトに大量にリプライを送りつけさせるDoS攻撃 | あらかじめ設定しておいたディレクティドブロードキャストアドレス宛てのICMP Echo(Ping)パケットを受信した | ||
| TCPのSYNパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し、標的システムのコネクションキーを枯渇させるDoS攻撃 | TCP SYNパケットの受信レートが毎秒60個を超えた | ||
| IPパケットのオフセット情報を偽造したパケットを送り、パケットの復元処理をうまくできないといったTCP/IP実装上の問題をついた攻撃 | 不正なオフセットを持ったフラグメントを含むフラグメント化されたIPパケットを受信した |
攻撃検出機能の設定はスイッチポートごとに行います。
1つのポートに対して、複数の攻撃を検出するよう設定することができます。
たとえば、スイッチポート1.0.1において、IPオプション攻撃とLand攻撃の検出機能を有効化するには、次のようにします。
これらの攻撃を検出した場合は、ポートを1分間シャットダウン(物理的にリンクダウン)します。
awplus(config)# interface port1.0.1 awplus(config-if)# dos ipoptions action shutdown awplus(config-if)# dos land action shutdown
なお、Smurf攻撃の検出機能を有効化するときは、本製品に直結されているIPサブネットのディレクティドブロードキャストアドレスを指定する必要があります。
本製品は、対象スイッチポートにおいて指定したアドレス宛てのICMP Echo(Ping)パケットを受信すると、Smurf攻撃が発生したと認識します。
awplus(config-if)# dos smurf broadcast 192.168.10.255 action shutdown
攻撃検出機能の設定や状態を確認するには、show dosコマンドを使います。
awplus> show dos interface port1.0.1
DoS settings for interface port1.0.1
-----------------------------------------
Port status : Enabled
ipoptions : Enabled
Action : Shutdown port
Attacks detected : 0
land : Enabled
Action : Shutdown port
Attacks detected : 0
ping-of-death : Disabled
smurf : Enabled
Action : Shutdown port
Attacks detected : 0
synflood : Disabled
teardrop : Disabled
攻撃検出機能を無効化するには、各コマンドをno形式で実行します。
awplus(config)# interface port1.0.1 awplus(config-if)# no dos ipoptions awplus(config-if)# no dos land awplus(config-if)# no dos smurf